etracker analytics est la solution de tracking pour les organismes publics

von Olaf Brandt

Les organismes publics qui utilisent etracker justifient leur utilisation par l’article 6, paragraphe 1, phrase 1, point e) du RGPD pour l’exécution de tâches publiques ou pour l’exécution d’une tâche d’intérêt public, à savoir l’exploitation de sites Web et l’analyse et l’optimisation qui en découlent. Le critère de la nécessité au sens de l’économie et de la minimisation des données est ici décisif pour la question de l’obligation de consentement. Il faut toujours vérifier si des données à caractère personnel doivent être traitées et, dans l’affirmative, s’il n’existe pas de moyen moins contraignant et tout aussi approprié pour atteindre la finalité.

Lors de l’utilisation d’etracker dans le standard sans cookie, le moyen le plus doux disponible pour la tâche est choisi. En effet, seuls des identifiants de visite pseudonymes sont générés à partir de l’agent utilisateur, de l’adresse IP pseudonymisée (immédiatement raccourcie) et de la date du jour, ce qui exclut en soi la formation d’un profil et la reconnaissance les jours suivants. L’expert en droit de la protection des données, Me Thomas Brehm, affirme même qu’il n’y a donc pas de référence personnelle. Selon lui, le RGPD ne suppose pas de lien avec les personnes pour tous les identifiants en ligne. Ce qui compte, c’est la relation avec la personne ou la possibilité de relation avec la personne dans le cas concret (ainsi Hanloser : Geräte-Identifier im Spannungsfeld von DS-GVO, TMG und ePrivacy-VO Zeitschrift für Datenschutz (ZD) 2018, 213). En raison du peu d’éléments d’information ainsi que de la limitation explicite dans le temps, il serait exclu qu’une personne individuelle puisse être associée et donc identifiée ou rendue identifiable.

On pense parfois que les autorités de contrôle considèrent les implémentations locales de logiciels d’analyse tels que Piwik/Matomo comme une solution de facilité. Ce n’est pas le cas. Au contraire, la Orientations des autorités de contrôle pour les fournisseurs de télémédias n’est mentionné qu’à titre d’exemple d’un moyen plus doux par rapport à des services tels que Google Analytics : "L’objectif – la mesure d’audience – peut également être atteint par des moyens plus doux, tout aussi appropriés, qui collectent nettement moins de données à caractère personnel et ne les transmettent pas à des tiers (par exemple sans l’implication de tiers via une implémentation locale d’un logiciel d’analyse)". En particulier, en cas d’utilisation d’une implémentation locale, le responsable doit garantir un niveau de sécurité approprié contre les accès non autorisés, ce que les fournisseurs SaaS comme etracker peuvent garantir avec des administrateurs système dédiés, des tests d’intrusion indépendants et autres. Dans cette mesure, le niveau de protection d’une solution SaaS doit généralement être considéré comme plus élevé que celui d’une implémentation locale.

Le consentement exigé par l’arrêt de la Cour fédérale de justice en cas d’enregistrement de données sur le terminal de l’utilisateur ou de lecture de données à partir de celui-ci ou, comme le prévoit l’article 15, paragraphe 3, phrase 1 de la TMG, en cas de création de profils d’utilisateurs à des fins publicitaires ou d’études de marché, ne s’applique pas non plus au suivi de session sans cookie d’etracker. Aucun profil d’utilisateur n’est explicitement créé, de même qu’aucune donnée n’est enregistrée dans l’appareil terminal par le biais de cookies et de technologies similaires, ni lue à partir de l’appareil terminal. Seules sont saisies les données techniques que le navigateur envoie au serveur web et qui ne permettent pas d’établir un lien avec la personne. En effet, même combinées, les données telles que le système d’exploitation, le navigateur, le type d’appareil et la ville sont bien trop grossières pour permettre de remonter à une personne ou à un ordinateur.

En outre, le document de la DSK de 2019 sur le tracking ainsi que les communiqués de presse des autorités de surveillance sur l’utilisation de Google Analytics de novembre 2019 indiquent clairement qu’aucune obligation générale de consentement n’est supposée pour le tracking. Ainsi, dans la justification de l’obligation de consentement pour Google Analytics, il est dit : "Si les fournisseurs de services tiers intégrés dans des sites Web utilisent également les données qui y sont collectées à leurs propres fins, l’exploitant du site Web doit obtenir à cet effet le consentement explicite des utilisateurs". Inversement, cela signifie que : Un suivi avec un simple traitement des commandes est possible sans consentement, à condition de ne pas enfreindre le principe fondamental de la nécessité de la finalité, de ne pas créer de profils d’utilisateurs et de ne pas utiliser de cookies. En effet, les autorités de contrôle n’ont justement pas affirmé que l’utilisation de Google Analytics était soumise au même consentement que l’utilisation d’autres solutions de tracking. L’obligation de consentement se justifie plutôt par le fait que Google prélève également un droit sur les données et les associe à ses propres données ou à des données provenant d’autres sites web. Tout cela n’est pas le cas avec etracker.

Après le récent jugement de la Cour de justice de l’Union européenne concernant le Privacy Shield, il faut encore ajouter aux exigences le fait qu’un traitement de données personnelles ne devrait avoir lieu de préférence qu’au sein de l’UE, afin de garantir un traitement conforme au RGPD et de ne pas avoir à craindre ainsi des amendes élevées. Ici aussi, en ce qui concerne etracker, le traitement doit avoir lieu exclusivement dans l’UE, plus précisément en Allemagne.

Dans le cadre d’un audit indépendant réalisé par la société ePrivacy GmbH, tous les produits etracker ont été contrôlés sous l’angle de leur conformité au RGPD et ont reçu le sceau ePrivacy. Dans la conclusion de l’expertise, on peut lire : "En mode sans cookie (mode standard), l’utilisation de etracker analytics est légale, sans aucune obligation de consentement". Cela répond également à l’exigence de la Conférence sur la protection des données : "Les responsables doivent démontrer, dans le cadre de leur obligation de rendre des comptes en vertu de l’article 5, paragraphe 2 du RGPD, que le traitement des données à caractère personnel est effectué de manière licite".

Ainsi, etracker propose la solution de tracking parfaite pour les organismes publics – conforme au RGPD, stockage des données exclusivement en Allemagne et avec les prémisses de la minimisation des données et de la souveraineté des données des clients.